Enquanto todos estavam se preocupando com o afluxo de malwares de PDV se aproveitando da temporada de festas de fim de ano, um grupo cibercriminoso calmamente explorou uma vulnerabilidade de plug-in com o malware SoakSoak misterioso e infectou pelo menos 100.000 sites utilizando o sistema de gerenciamento de conteúdo do WordPress.
Pesquisadores da empresa de segurança Sucuri descobriram a campanha de malware em meados de Dezembro, observando que a mesma potencializou uma falha dentro de um controle do plug-in Slider Revolution que foi originalmente divulgado no início de Setembro. O ataque SoakSoak faz com que os sites infectados com o malware carreguem códigos maliciosos muito ofuscados em todas as páginas da Web que incluem o plug-in RevSlider, fazendo com que as páginas façam download para uma página de pagamento em domínio russo. Depois de obter acesso, o malware faz o upload de um backdoor e infecta todos os outros sites que compartilham a mesma conta do servidor.
Malware escondido no pacote de temas do WordPress
Os analistas da Sucuri ressaltaram em um artigo de blog sobre o ataque que esse malware é tão perigoso em parte por que muitos administradores não sabem que eles estão usando o plug-in e, portanto, não vai tomar medidas para proteger seu site contra um ataque.
“O maior problema é que o plug-in RevSlider é um plug-in premium, não é algo que todos podem ter facilmente, o que por si só o torna um desastre para o dono do site”, afirmou a Sucuri em um artigo de blog. “Alguns proprietários de sites nem sabem que eles têm esse plug-in, tendo em vista que este foi integrado aos seus temas. Estamos atualmente corrigindo milhares de sites e, quando entramos em contato com nossos clientes, muitos deles nem sabiam que o plug-in estava em seu site.”
Os pesquisadores disseram que vários arquivos relacionados com o malware SoakSoak foram vistos no mundo cibernético. Até agora, três arquivos separados têm sido utilizados para promover a campanha maliciosa. Os ataques são direcionados contra o Firefox e contra a versão mais recente do Internet Explorer, sugerindo que existe uma vulnerabilidade zero-day sendo exploradas nestes navegadores. De acordo com o colaborador da Threatpost, Chris Brook, o site do malware está atualmente sendo baixado offline, sinalizando o fato de que os cibercriminosos por trás dos ataques podem não ter se preparado para uma campanha tão eficaz.
Campanha com esperança de infecções generalizadas
Mais de 70 milhões de sites são executados atualmente no WordPress e o RevSlider é um dos plug-ins mais populares do site, então o número oficial de páginas infectadas com o malware SoakSoak provavelmente continuará a aumentar nos próximos dias. Para remover o malware de um sistema explorado, os administradores devem excluir os arquivos relacionados e atualizar o plug-in para a versão mais recente que inclui uma correção.
Os analistas de segurança ainda não conseguiram determinar o motivo por trás da campanha de malware, mas as razões prováveis são o roubo de dados sensíveis e ganho financeiro. Empresas em todo o mundo estão cada vez mais se tornando alvos de cibercriminosos, mas as empresas americanas parecem ter sido as principais afetadas. Esses hacks estão se tornando cada vez mais prejudiciais e resultando na perda de milhões de dólares. De acordo com um relatório recente publicado pela PricewaterhouseCoopers, uma grande empresa perde em média US$ 5,9 milhões de dólares como resultado de uma violação de dados.
Como proteger redes corporativas contra violações de dados?
Em um artigo recente do blog, o pesquisador de Trend Micro Bob Corson sugeriu três etapas que as empresas podem seguir para se defenderem de forma mais eficaz contra agentes maliciosos. Em primeiro lugar, é importante compreender quais informações são mais susceptíveis a serem algo dos criminosos cibernéticos e como eles vão tentar potencializá-las. Isso fornecerá uma visão objetivo dos ativos de dados e permitirá que as organizações ofereçam uma proteção boa suficiente mesmo para os arquivos mais vulneráveis. Em segundo lugar, as empresas precisam ter em mente de que uma falha vai acontecer eventualmente. Ao aceitar isso os tomadores de decisões da área de TI serão encorajados a empregar soluções de segurança mais abrangentes e não somente programas para fins específicos.
Por fim, as empresas precisam estabelecer uma detecção mais ampla na rede para identificar os primeiros sinais de uma violação. Com o crescente número de dispositivos móveis adicionados em redes corporativas e em endpoints, criminosos cibernéticos possuem cada vez mais maneiras de obter acesso à informações e sistemas sensíveis. Os pesquisadores da Trend Micro entendem por detecção a proteção de todos os endpoints de uma rede 360° e a consideram uma etapa fundamental para uma segurança boa o suficiente. Conseguir detectar exploits nas redes, malwares avançados e comportamentos suspeitos que sugiram a possibilidade de um hack é essencial para a segurança cibernética de uma empresa.
